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(57) Abstract: The invention relates to a data carrier comprising a semiconductor chip 
provided with at least one memory in which an operating program is stored. Said oper- 
ating program contains a number of instructions, whereby each instruction is elicited by 
signals that can be detected outside of the semiconductor chip. The aim of the invention 
is to protect secret data, which is provided in the chip of the data carrier, from "Differ- 
ential Power Analysis" (DPA) or Higher Order DPA. To this end, the invention provides 
that in order to carry out security-relevant operations in the semiconductor chip, the data 
carrier is designed for dividing up secret data, which is stored or generated by the same, 
into at least three data parts, whereby an arithmetic unit for calculating a random num- 
ber and for dividing the random number is contained therein, whereby the first data part 
is the integer result of the division, the second part is the remainder of the division, and 
the third part is the random number itself. 

(57) Zusammenfassung: Die Erfindung betrifft einen Datentrager mit einem Halblei- 
terchip der wenigstens einen Speicher aufweist, in dem ein Betriebsprogramm abgelegt 
ist, das mehrere Befehle beinhaltet, wobei jeder Befehl von ausserhalb des Halbleiter- 
chips detektierbare Signale hervorruft. Es ist Aufgabe der Erfindung, geheime Daten, 
die im Chip ides Datentragers vorhanden sind, vor "Differential Power Analysis" (DPA) 
bzw. Higher Order DPA zu schiitzen. Gemass der Erfindung ist der Datentrager aus- 
gelegt, um zur DurchfUhrung sicherheitsrelevanter Operationen im Halbleiterchip abge- 
legte oder von diesem generierte geheime Daten in mindestens drei Datenteile aufzu- 
teilen, wobei eine Recheneinheit zum Berechnen einer Zufallszahl und zur Teilung der 
Zuf allszahl enthalten ist, wobei der erste Datenteil das ganzzahlige Ergebnis der Teilung 
ist, der zweite Teil der Rest der Teilung und der dritte Teil die Zufallszahl selbst ist. 
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Tragbarer Datentrager mit Zugriffsschutz durch Schlusselteilung 



5 Die Erfindung betrifft einen Datentrager, der einen Halbleiterchip aufweist, 
in dem geheime Daten abgespeichert sind und verarbeitet werden. 

Datentrager die einen Chip enthalten, werden in einer Vielzahl von unter- 
schiedlichen Anwendungen eingesetzt, beispielsweise zum Durchfiihren von 

10 Finanztransaktionen, zum Bezahlen von Waren oder Dienstleistungen, oder 
als Identifikationsmittel zur Steuerung von Zugangs- oder Zutrittskontrol- 
len. Bei alien diesen Anwendungen werden innerhalb des Chips des Daten- 
tragers in der Regel geheime Daten verarbeitet, die vor dem Zugriff durch 
unberechtigte Dritte geschiitzt werden miissen. Dieser Schutz wird unter 

15 anderem dadurch gewahrleistet, dafi die inneren Strukturen des Chips sehr 
kleine Abmessungen aufweisen und daher ein Zugriff auf diese Strukturen 
mit dem Ziel, Daten, die in diesen Strukturen verarbeitet werden, auszuspa- 
hen, sehr schwierig ist. Um einen Zugriff weiter zu erschweren, kann der 
Chip in eine sehr fest haftende Masse eingebettet werden, bei deren gewalt- 

20 samer Entfernung das Halbleiterplattchen zerstort wird oder zumindest die 
darin gespeicherten geheimen Daten vernichtet werden. Ebenso ist es auch 
moglich, das Halbleiterplattchen bereits bei dessen Herstellung mit einer 
Schutzschicht zu versehen, die nicht ohne Zerstorung des Halbleiterplatt- 
chens entfernt werden kann. 

25 

Mit einer entsprechenden technischen Ausriistung, die zwar extrem teuer 
aber dennoch prinzipiell verfugbar ist, konnte es einem Angreifer mogli- 
cherweise gelingen, die innere Struktur des Chips freizulegen und zu unter- 
suchen. Das Freilegen konnte beispielsweise durch spezielle Atzverfahren 
30 oder durch einen geeigneten Abschleifprozefi erfolgen. Die so freigelegten 
Strukturen des Chips, wie beispielsweise Leiterbahnen, konnten mit Mikro- 
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sonden kontaktiert oder mit anderen Verf ahren untersucht werden, um die 
Signalverlaufe in diesen Strukturen zu ermitteln. Anschliefiend kftnnte ver- 
sucht werden, aus den detektierten Signalen geheime Daten des Datentra- 
gers, wie z.B. geheime Schliissel zu ermitteln, um diese fur Manipulations- 
5 zwecke einzusetzen. Ebenso konnte versucht werden, iiber die Mikrosonden 
die Signalverlaufe in den freigelegten Strukturen gezielt zu beeinflussen. 



In jiingerer Zeit sind iiberdies Methoden bekannt geworden, die es erlauben 
durch die Messung der Stromaufnahme oder des Zeitverhaltens bei der Ver- 
10 schlusselung auf die geheimen Daten, insbesondere den geheimen Schliissel 
zu schliefien (Paul C. Kocher, ,,Timing attacks on implementation of Diffie- 
Hellman, RSA, DSS, and other Systems", Springer Verlag 1998; 
WO 99/35782). 

15 Ein einfacher derartiger Angriff besteht in der „Simple Power Analysis" 

(SPA). Bei dieser Analysemethode wird beispielsweise eine bekannte Nach- 
richt M einer Verschliisselung mit einem geheimen Schliissel d unterzogen, 
d.h. es wird der verschliisselte Text Y = M d mod n gebildet. Bei der modula- 
ren Exponentiation wird bei einer "1" im Exponenten d eine Quadrier- 

20 Operation mit dem Zwischenergebnis und eine Multilizier-Operation mit M 
durchgefiihrt, wahrend bei einer "0" in d nur eine Quadrier-Operation mit 
dem Zwischenergebnis ausgefiihrt wird. Bei bekanntem M kann durch die 
Beobachtung des Strom und/ oder Zeitverhaltens wahrend der Operationen 
die Nachricht M erkannt werden. Da diese immer bei Vorliegen einer "1" in 

25 d verwendet wird, kann ohne weiteres auf den Schliissel geschlossen wer- 
den. 



30 



Diesem Angriff kann ohne weiteres durch einf ache Anderungen in der 
Nachricht M bzw. im Schliissel d begegnet werden. Aus Paul C. Kocher, 
„Timing Attacks on implementation of Diffie-Hellman, RSA, DSS, and other 
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Systems", Springer Verlag 1998 und der internationalen Patentanmeldung 
WO 99/35782 sind weitere Analysemethoden bekannt, bei denen auch bei 
geanderter, d.h. verschleierter Nachricht oder verschleiertem Schliissel 
durch die Aufnahme einer Vielzahl von Mefikurven, in denen das Stromver- 
5 halten des integrierten Schaltkreises gemessen wird auf den Schliissel ge- 
schlossen werden kann („ Differential Power Analysis" (DP A) bzw. Higher 
Order DP A). 

Als Sicherungsmafinahme wurde ein sogenanntes „Exponent Blinding" vor- 
10 geschlagen, bei dem der geheime Schliissel d nicht direkt verwendet wurde. 

Zum einen kann anstelle des geheimen Schliissels d fur die Verschliisselung 
d+r*<X> verwendet werden, wobei r eine Zufallszahl und <D die Eulersche 
PHI-Funktion ist. Speziell fur den RSA-Algorithmus gilt: n = p*q, wobei p 
15 und q Primzahlen sind und somit O = (p-l)*(q-l) ist. Unter Anwendung des 
Eulers-Theorem gilt: M d mod n = M d+I>a> mod n. 

Wenn bei jeder Berechnung eine andere Zufallszahl r verwendet wird, kann 
auch bei einer Vielzahl von Analyse-Reihen nicht auf den Schliissel d ge- 
schlossen werden. 

20 

Alternativ kann der geheime Schliissel d in dl*d2 mod O zerlegt werden. Es 
wird fur die Verschliisselung Y=M dl * d2 mod ° mod n =(M dl ) d2 mod n. 

Der Nachteil dieser Schutzmoglichkeit besteht jedoch darin, da6 aus Mangel 
25 an Speicherplatz die Primzahlen p und q oder O iiblicherweise nicht in einer 
Chipkarte abgelegt sind. 

Der geheime Schliissel d kann auch in eine Summe aus dl und d2 zerlegt 
werden. Es gilt dann d « dl + d2 bzw. fiir die Verschliisselung: 
30 Y=M dl+d2 mod n = M dl * M* 2 mod n = (M dl mod n * M 62 mod n) mod n. 
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Um eine ausreichend hohe Sicherheit zu erhalten, muJB bei der Zerlegung 
des Exponenten in d = dl + d2 oder d = dl*d2 mod O fur jede Berechnung 
ein neues, zufalliges dl/d2-Paar gewahlt werden. Da die Erzeugung von 
5 Zufallszahlen in der Regel sehr langsam ist, eignet sich dieses Verfahren 
nicht zum Einsatz in Chipkarten. Zudem wird der Rechenaufwand fur die 
modulare Exponentiation wesentlich erhSht, so dafi auch dies gegen einen 
Einsatz in der Chipkarte spricht 

10 Es ist daher Aufgabe der Erfindung, geheime Da ten, die im Chip eines trag- 
baren Datentragers vorhanden sind, vor unberechtigtem Zugriff zu schiit- 
zen, wobei der effiziente Einsatz der Daten nach wie vor gewahrleistet sein 
soil. 

15 Diese Aufgabe wird ausgehend vom Oberbegriff der Ansprtiche 1 bzw. 7 
und 12 durch die kennzeichnenden Merkmale des jeweiligen Anspruchs ge- 
l<3st. 

Die Erfindung gibt einen Datentrager mit einem Halbleiterchip der wenig- 
20 stens einen Speicher aufweist, in dem ein Betriebsprogramm abgelegt ist, das 
mehrere Befehle beinhaltet, wobei jeder Befehl von aufierhalb des Halbleiter- 
chips detektierbare Signale hervorruft, an. 

Gemafi der Erfindung ist der Datentrager ausgelegt, um zur Durchfuhrung 
25 sicherheitsrelevanter Operationen im Halbleiterchip abgelegte oder von die- 
sem generierte geheime Daten in mindestens drei Datenteile aufzuteilen. Er 
enthalt eine Rechner- bzw. Recheneinheit zum Berechnen einer Zufallszahl 
und zur Teilung der geheimen Daten durch die Zufallszahl. Der erste Daten- 
teil besteht aus dem ganzzahligen Ergebnis der Teilung, der zweite Teil ist 
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durch den Rest der Teilung gegeben und der dritte Datenteil ist die Zufalls- 
zahl selbst 



Gemafi einer vorteilhaften Ausgestaltung der Erfindung bestehen die ge- 
5 heimen Daten aus dem geheimen Schliissel fur eine Verschliisselung von 
Nachrichten, wobei vorzugsweise der geheime Schliissel als Exponent bei 
der Berechnung von Gruppen-Operationen in asymmetrischen Verschliis- 
selungsverfahren (public-key-Verfahren, z.B. elliptische Kurven, RSA, usw. ) 
bzw. von Modulo-Operationen eingesetzt wird. 

10 

Eine weitere Ausgestaltung der Erfindung sieht vor, dafi die Zufallszahl so 
gewahlt wird, dafi die Lange der Zufallszahl zusammen mit dem Hamming- 
gewicht der Zufallszahl bei verschiedenen Zufallszahlen etwa konstant ist. 
Auf diese Weise wird erreicht, dafi aus der Zeitdaiier, welche fur die modu- 
15 lare Exponentiation, die proportional zur Lange des Exponenten und dem 
Hamminggewicht des Exponenten ist, nicht auf die geheimen Daten ge- 
schlossen werden kann. 



Das erfindungsgemafie Verf ahren sieht vor, dafi der geheime Schliissel 
20 durch eine vergleichsweise kurze Zufallszahl geteilt wird. Das Teilungser- 
gebnis ohne Rest ergibt den ersten Teil des Schliissels, der Rest ergibt den 
zweiten Teil des Schliissels und die Zufallszahl den dritten Teil. 



Fur die Verschliisselung einer Nachricht M gilt Y = M d mod n. Der geheime 
25 Schliissel d wird in dl, d2 und r auf geteilt, wobei dl = d/r (r ist eine Zufalls- 
zahl) ohne Rest gilt. Der Rest der Teilung ist der zweite Teil d2 des Schliissels 
d. Damit gilt d2= d mod r. Fur den Schliissel d gilt somit d = r*dl + d2. 



Damit ergibt sich ein Verschliisselungstext 
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Y = M d mod n - M r * dl + & mod n = (M') d * * mod n = 
= ((M r ) dl mod n * M* 2 mod n) mod n. 

Der Ablauf der Bildung des verschliisselten Textes Y ist in Fig. 1 dargestellt. 

In Schritt 1 wird zunSchst eine Zuf allszahl r gebildet. Anschliefiend wird in 
Schritt 2 aus dem geheimen Schliissel d durch Teilung mit der zuvor erhalte- 
nen Zufallszahl r der erste Schliisselteil dl berechnet. Der zweite Teil d2 des 
Schliissels wird durch Bildung von d mod r erhalten. 

In Schritt 4 wird mit der Berechnung des Verschliisselungstextes begonnen, 
indem zunachst M r mod n berechnet wird. Im nachsten Schritt 5 wird 
Dl = (M r ) dl mod n und in Schritt 6 wird D2 = M* 2 mod n berechnet. 

Die Reihenfolge der einzelnen Rechenoperationen kann naturlich zum Teil 
auch zeitlich vertauscht werden. So kann zuerst M dl mod n berechnet wer- 
den und dann (M dl ) r mod n, da (M r ) dl mod n = (M dl ) r mod n ist. 

Im letzten Schritt 7 werden die Zwischenergebnisse Dl und D2 miteinander 
multipliziert und der Modulo zu n gebildet. Es gilt damit 

Dl * D2 mod n = M d mod n = Y. 

Die Erfindung hat den Vorteil, dafi weder die Primzahlen p und q zur Bil- 
dung von O in der Karte gespeichert sein miissen und auch die Erzeugung 
langer Zufallszahlen, die sehr viel Rechenzeit in Anspruch nimmt, vermie- 
den wird. Es wird weiterhin der Rechenaufwand f ur die Modulo- 
Operationen in Grenzen gehalten, so dafi die erfindungsgemafie Losung so- 
wohl sicher als auch effizient in einer Chipkarte eingesetzt werden kann. 
Weiterhin miissen bei dem beschriebenen Verfahren keine Daten im nicht- 
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fliichtigen Speicher des DatentrSgers abgeandert werden, was Zeit bean- 
spruchen und zu einem Degradieren des nichtfluchtigen Speichers fiihren 
wiirde. 

5 Da eine modulare Exponentiation eine Zeitdauer benotigt, die proportional 
zur Lange des Exponenten und des Hamminggewichts des Exponenten ist, 
kann eine zusStzliche Erhohung der Sicherheit erreicht werden, wenn fur die 
Erzeugung der Zufallszahl r ein Verf ahren gewahlt wird, bei der die Lange 
von r und das Haxnminggewicht von r eine Konstante ergibt. 

10 

Die Erfindung kann fur eine Vielzahl von Verschliisselungssysteme ange- 
wendet werden. Es sei beispielhaft auf die RSA-Verschliisselung, die Ver- 
schliisselung nach ElGamal, DSA, Elliptische Kurvensysteme usw. verwie- 
sen. 



15 
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Patentanspriiche 



1. Datentrager mit einem Halbleiterchip der wenigstens einen Speicher 
aufweist, in dem ein Betriebsprogramm abgelegt ist, das mehrere Befehle 

5 beinhaltet, wobei jeder Befehl von aufierhalb des Halbleiterchips detektier- 
bare Signale hervorruft, dadurch gekennzeichnet, dafi der Datentrager aus- 
gelegt ist, um zur Durchfuhrung sicherheitsrelevanter Operationen im 
Halbleiterchip abgelegte oder von diesem generierte geheime Daten in min- 
destens drei Datenteile auf zuteilen, wobei eine Recheneinheit zum Berech- 
10 nen einer Zufallszahl und zur Teilung der Zufallszahl enthalten ist, wobei 
der erste Datenteil das ganzzahlige Ergebnis der Teilung ist, der zweite Teil 
der Rest der Teilung und der dritte Teil die Zufallszahl selbst ist. 

2. Elatentrager nach Anspruch 1, dadurch gekennzeichnet, dafi die gehei- 
15 men Daten ein geheimer Schliissel fur eine Verschliisselung von Nachrichten 

sind. 

3. Datentrager nach Anspruch 1 oder 2, dadurch gekennzeichnet, dafi die 
geheimen Daten als Exponent bei der Berechnung von Gruppen- 

20 Operationen in asymetrischen Verschliisslelungsverfahren Verwendung fin- 
den. 

4. Datentrager nach einem der Anspriiche 1 bis 3, dadurch gekennzeich- 
net, dafi die geheimen Daten als Exponent bei der Berechnung von Modulo- 

25 Operationen eingesetzt werden. 

5. Datentrager nach einem der Anspriiche 1 bis 3, dadurch gekennzeich- 
net, dafi der geheime Schliissel als Exponent bei der Berechnung von Mo- 
dulo-Operationen eingesetzt wird. 
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6. Datentrager nach einem der Anspruche 1-5, dadurch gekennzeichnet, 
dafi die Zufallszahl so gewahlt wird, dafi die Lange der Zuf aliszahl zusam- 
men mit dem Hamminggewicht der Zufallszahl bei verschiedenen Zufalls- 
zahlen etwa konstant ist. 

7. Verfahren zur Sicherung geheimer Daten in Datentragern mit einem 
Halbleiterchip der wenigstens einen Speicher aufweist, in dem ein Be- 
triebsprogramm abgelegt ist, das mehrere Bef ehle beinhaltet, wobei jeder 
Befehl von aufierhalb des Halbleiterchips detektierbare Signale hervorruft, 
dadurch gekennzeichnet, dafi zur Durchfiihrung sicherheitsrelevanter Ope- 
rationen im Halbleiterchip abgelegte oder von diesem generierte geheime 
Daten in mindestens drei Datenteile aufgeteilt werden, wobei zunachst eine 
Zufallszahl berechnet wird und der erste Datenteil aus dem ganzzahligen 
Ergebnis einer Teilung der geheimen Daten durch die Zufallszahl ist, der 
zweite Teil aus dem Rest der Teilung besteht und der dritte Teil die Zufalls- 
zahl selbst ist. 

8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dafi die geheimen 
Daten ein geheimer Schliissel fur eine Verschliisselung von Nachrichten 
sind. 

9. Verfahren nach Anspruch 7 oder 8, dadurch gekennzeichnet, dafi die ge- 
heimen Daten als Exponent bei der Berechnung von Gruppen-Operationen 
in asymetrischen Verschlusselungsverf ahren Verwendung finden. 

10. Verfahren nach Anspruch 7 oder 8, dadurch gekennzeichnet, dafi die 
geheimen Daten als Exponent bei der Berechnung von Modulo-Operationen 
eingesetzt werden. 
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11. Verfahren nach Anspruch 7 oder 8, dadurch gekennzeichnet, dafi der 
geheime Schliissel als Exponent bei der Berechnung von Modulo- 
Operationen eingesetzt wird. 

5 12. Verfahren nach einem der Anspruche 7 - 11, dadurch gekennzeichnet, 
dafi die Zufallszahl so gewahlt wird, dafi die Lange der Zufallszahl zusam- 
men mit dem Hamminggewicht der Zufallszahl bei verschiedenen Zufalls- 
zahlen etwa konstant ist. 

10 13. Verfahren zur Bildung einer verschliisselten Nachricht in einem System 
zur Authentisierung von Systemkomponenten oder zur Bildung einer Signa- 
tur, dadurch gekennzeichnet, dafi 

- eine Zufallszahl r gebildet wird, 

- aus einem geheimen Schliissel d durch Teilung mit der zuvor erhaltenen 
15 Zufallszahl r ein erster Schliisselteil (dl) berechnet wird, 

- ein zweiter Teil (d2) des Schliissels durch Bildung von d mod r erhalten 
wird, 

- mit der Berechnung des Verschliisselungstextes begonnen wird, indem M r 
mod n berechnet wird, 

20 - Dl = (M r ) dl mod n und D2 = M 62 mod n berechnet wird und 

- die Zwischenergebnisse Dl und D2 miteinander multipliziert und der 
Modulo zu n gebildet wird. 

14. Verfahren nach Anspruch 13, dadurch gekennzeichnet, dafi zur Be- 
25 rechnung von Dl zunachst M dl mod nund nachfolgend (M dl ) r mod n be- 
rechnet wird. 
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